Les groupes de ransomwares abandonnent le chiffrement pour une présence furtive en 2026

Picus Security révèle dans son Red Report 2026 une chute de 38 % du chiffrement ransomware d’une année sur l’autre. Ce rapport, basé sur l’analyse de 1,1 million de fichiers malveillants et 15,5 millions d’actions adverses cartographiées ATT&CK, un référentiel standard des tactiques cybercriminelles, montre une explosion des techniques de furtivité, de persistance et de vol d'identifiants. Les attaquants privilégient désormais une résidence prolongée dans les réseaux, sans destruction visible des données. Cette évolution marque le passage du « prédateur » au « parasite numérique ». Autrefois, les ransomwares infiltraient, chiffraient les fichiers et exigeaient une rançon rapidement, une méthode bruyante contrecarrée par les stratégies de sauvegarde renforcées des entreprises. Aujourd’hui, les cybercriminels pénètrent discrètement via des credentials légitimes (T1078), s’injectent dans des processus fiables pour échapper à la détection (T1055), assurent une persistance post-redémarrage (T1547) et exfiltrent les données lentement sur des semaines ou des mois (T1041), avant d’extorquer par menace de publication. Huit des dix techniques MITRE ATT&CK les plus observées en 2025 concernent l’évasion, la persistance ou les commandes furtives, un record historique. Près d’un quart des attaques visent les stockages de mots de passe des navigateurs, tandis que des malwares auto-conscient utilisent des calculs mathématiques pour détecter les sandboxes et rester dormants. Sıla Özeren Hacıoğlu, analyste chez Picus Security, décrit cette menace invisible qui mesure son impact par la durée de présence, non par la disruption immédiate. Les entreprises doivent adopter des sandboxes simulant les comportements humains pour contrer ces parasites. Sans cela, la détection survient souvent après des mois d’infestation silencieuse.